“Nomina nuda tenemus”: gli equivoci sulla firma digitale e i suoi standard

Sebbene l'introduzione a regime delle tecnologie dell'informazione nel processo civile (fenomeno che si usa denominare con la più sintetica locuzione di “processo civile telematico” o “PCT”) dati ormai a un lustro, grande ancora è la confusione, se non sotto il sole, almeno nella vasta platea dei giuristi pratici (i quali, con gli strumenti informatici debbono, più nolenti che volenti, confrontarsi quotidianamente): pare pertanto il caso di fare il punto della situazione in merito all'argomento “firme digitali”.

Ciò comporta, tuttavia, che ci si debba necessariamente soffermare sui risvolti tecnico-informatici della materia.

Qual è la funzione della firma?

Nel campo giuridico, è la rivendicazione in capo a colui che appone la firma della riferibilità a sé di ciò che viene firmato, e delle inerenti responsabilità.

Sul versante “analogico”, la firma si risolve nell'apposizione di un simbolo univocamente ricollegabile al firmatario: dal sigillo con la ceralacca alla sottoscrizione autografa, cambiano le modalità pratiche, ma il concetto rimane invariato.

L'immediatezza connessa all'analogico semplifica di molto le operazioni di verifica della genuinità della firma; sotto un profilo inverso, si potrebbe dire che la falsificazione è un'operazione alquanto complessa e alla portata di pochi, cosicché la firma analogica è un indicatore di autenticità il cui grado di affidabilità è mediamente piuttosto elevato.

Sul versante digitale, al contrario, data l'estrema facilità della falsificazione — o, per altro verso, l'estrema difficoltà di verificare la genuinità — è stato necessario realizzare un sistema che restituisse analoga (si perdoni il bisticcio) affidabilità.

Sono, quindi, stati elaborati i concetti della firma elettronica e delle sue particolari declinazioni; quella che interessa ai fini della presente riflessione è la c.d. “firma digitale”, il cui sistema è costituito da un complesso di fattori interconnessi: in primo luogo, viene individuato un gruppo ristretto e selezionato di soggetti cui la pubblica autorità conferisce un potere di certificazione (le cc.dd. Certification Authorities, o Autorità di Certificazione — nel diritto italiano: i certificatori abilitati); tale potere si estrinseca nel rilascio di particolari documenti informatici denominati “certificati elettronici” (o “digitali”) e nell'associazione univoca di ciascun determinato certificato a un ben preciso soggetto che l'Autorità medesima si preoccupa di identificare nel momento in cui rilascia il certificato in questione; il cerchio si chiude rendendo pubblicamente accessibile il registro tenuto dal certificatore, tramite il quale chiunque può verificare lo stato di validità e la riferibilità del medesimo certificato. Il tutto, ovviamente, mediante l'utilizzo di strumenti informatici dedicati.

Perché, in buona sostanza, la firma digitale si risolve nell'associare al documento che si intende firmare quel particolare certificato digitale univocamente attribuito al soggetto firmatario: e ciò, sia nella fase di firma, sia nella successiva fase di verifica della firma stessa.

Volendo tracciare un parallelo colla dimensione analogica, si potrebbe pensare alla firma digitale come all'equivalente elettronico e intangibile del sigillo, col quale, a ben vedere, condivide pure il rischio della sottrazione al proprietario e dell'uso improprio e illegittimo dello stesso (del resto, il parallelo prosegue perfettamente anche con riguardo alla manomissione del documento sigillato/firmato e alle conseguenze di ciò).

Attualmente, l'ordinamento italiano riconosce validità legale a tre distinti standard di firma digitale: CAdES-BES, PAdES-BES e XAdES-BES. Senza addentrarci troppo in tecnicismi, basterà qui segnalare che:

• tutti e tre gli standard prevedono la realizzazione di una busta elettronica che racchiude al suo interno il documento da firmare e i certificati del firmatario e del certificatore;
• PAdES-BES è sviluppato da Adobe Systems Inc., e può essere utilizzato per firmare documenti informatici esclusivamente in formato PDF;
• XAdES-BES può essere utilizzato per firmare documenti informatici esclusivamente in formato XML;
• CAdES-BES può essere utilizzato per firmare documenti informatici di qualunque formato, impiega la crittografia asimmetrica e, nel creare il file firmato, aggiunge alla denominazione originale (inclusa in detta anche l'estensione identificativa del formato) l'ulteriore estensione “.p7m” (per esempio: “.doc.p7m”, “.pdf.p7m” e così via).

Comune a tutti gli standard di firma digitale è la caratteristica che qualsiasi successiva modifica al file firmato rimuove la firma apposta; è tuttavia possibile rinominare il file senza che l'operazione ne alteri o elimini la firma.

A quest'ultimo proposito, non sarà inutile far presente che i sistemi informatici (qualunque sia il sistema operativo adottato) identificano i file non mediante il nome o l'estensione che appaiono all'operatore umano, bensì tramite dei codici interni al file stesso (ciò che viene comunemente denominato “magic number”); pertanto, ed esemplificativamente, il sistema operativo riconoscerà un documento in formato PDF quand'anche fosse stato rinominato attribuendogli un'estensione diversa o addirittura nessuna estensione.

Così, a rivelare che un documento è stato firmato digitalmente non sarà invero la sua estensione, bensì le informazioni contenute al suo interno e che solo gli appositi software sono in grado di decodificare e restituire all'operatore (l'apposizione al nome del file firmato di diciture quali “-signed.pdf” — nel esempio, con lo standard PAdES-BES — avviene dunque e unicamente «per mera comodità» dell'utente, come anche la Suprema Corte ha avuto occasione di osservare).

La digitalizzazione del processo non comporta effettivo mutamento del rito: semplicemente, le attività che sino a un dato momento si siano svolte con certe modalità, da quel momento in poi vengono svolte con modalità differenti, senza che la loro essenza abbia a esserne alterata.

Per orientarsi nell'universo digitale, quindi, sarà sufficiente (ma necessario) uno sforzo logico di astrazione, ravvisando nell'attività “digitale” (virtuale) il semplice corrispondente della più familiare e consueta attività “analogica”: per fare che il più banale degli esempi, se nel “prima analogico” l'atto processuale si sostanziava in un documento cartaceo autografato dal suo autore, nell'“adesso digitale” il medesimo atto processuale consiste di un documento informatico cui viene apposta la firma digitale dallo stesso autore.

Per intuibili, se non evidenti, ragioni di operatività del sistema del processo telematico, tramite normativa tecnica di natura regolamentare sono stati determinati gli standard tecnologici ai quali gli “oggetti” del processo (atti, documenti, etc.) debbono conformarsi; in punto “firme”, il processo civile telematico consente l'utilizzo sia dello standard CAdES-BES, sia dello standard PAdES-BES, mentre il processo amministrativo telematico ammette (per ragioni tecniche legate all'infrastruttura adottata) il solo standard PAdES-BES.

Con riguardo al solo processo civile telematico, è indifferente dunque quale standard si scelga in concreto di adoperare per firmare un atto processuale (sia che si tratti di un atto di parte, sia che si tratti di un provvedimento del giudice), poiché in ogni caso l'atto dovrà essere in formato PDF c.d. “nativo” (ossia ottenuto mediante diretta conversione di un documento di testo e non tramite scansione di un originale cartaceo), e si è visto come un documento PDF supporti entrambi gli standard in questione (più propriamente, si dovrebbe dire che con lo standard CAdES-BES si può firmare qualunque documento digitale, quindi anche un file .pdf, mentre con lo standard PAdES-BES si può firmare solo un file .pdf).

Dal punto di vista della semplificazione nella fruizione dei documenti digitali, si dovrebbe consigliare il ricorso allo standard PAdES-BES ogniqualvolta ciò sia possibile, poiché tale standard di firma non comporta gli inconvenienti che talora possono presentarsi con un file firmato in CAdES-BES.

Ricordiamo che i file con estensione .p7m sono crittografati e il sistema necessita di ricorrere agli strumenti inclusi nel kit di firma digitale per decrittarli; è pure vero che, a livello d'esperienza pratica, molti riescono a leggere i file PDF firmati in CAdES-BES (che, quindi, portano l'estensione composita “.pdf.p7m”) tramite il loro abituale visualizzatore, ma ciò in realtà avviene perché nel loro computer il kit di firma digitale è stato correttamente installato e configurato.

La firma digitale assolve, nel processo, al medesimo ruolo che viene deputato alla firma autografa: ovviamente, la prima si applica ai documenti informatici, mentre la seconda ai documenti analogici.

A tale ultimo fine, la firma digitale è valida se rispondente agli standard normativamente riconosciuti, ossia CAdES-BES e PAdES-BES.

Con riguardo al processo amministrativo telematico, sebbene la normativa tecnica ammetta il solo standard PAdES-BES, il Consiglio di Stato (Sezione III, sentenza 27 novembre n. 5504) ha comunque riconosciuto che «l'utilizzo del formato CAdES, anziché PAdES, per la firma digitale del ricorso notificato non può considerarsi una causa di inesistenza della sottoscrizione ma, tutt'al più, un'irregolarità sanabile».

Il reale momento di criticità occorre nel passaggio fra una dimensione e l'altra (ossia dal digitale all'analogico e/o viceversa).

Il giudizio di Cassazione rappresenta (quantomeno allo stato, e finché anch'esso non verrà ricompreso nel sistema del processo telematico) il contesto principale di passaggio fra le due dimensioni considerate (tenuto, poi, conto dell'ulteriore circostanza che le notificazioni tramite PEC a cura dell'avvocato possono comunque effettuarsi a prescindere dalla dimensione — se telematica o analogica — del giudizio cui ineriscono).

Orbene, la linea guida principe da seguire nell'occorrenza è quantomai semplice: nel giudizio di Cassazione è necessario formare copia analogica (cartacea) di ogni atto e documento presenti nel fascicolo informatico del giudizio di merito (inclusa la sentenza che si impugna), nonché della procura e degli atti eventualmente notificati per via telematica.

Le copie anzidette debbono poi essere attestate conformi agli originali informatici secondo quanto disposto negli artt. 16-decies e 16-undecies del d.l. n. 179/2012.

In chiusura, non sarà del tutto superfluo ribadire quanto già accennato retro: la verifica della validità della sottoscrizione di un atto con firma digitale è operazione che non può basarsi sulla mera ricognizione del nome e dell'estensione del relativo file; in altre parole, un file che riporti il suffisso “-signed.pdf” (aut similia) non è detto che sia effettivamente firmato con lo standard PAdES-BES, e ugualmente è a dirsi per un file con estensione “.p7m” relativamente allo standard CAdES-BES; viceversa, ben potrebbero essere stati firmati digitalmente file che riportassero la sola estensione “.pdf”.

Cosicché, la sola verifica efficacemente esperibile è quella effettuata tramite i software che consentano il controllo della firma digitale (tali programmi sono normalmente a corredo dei kit di firma digitale, o in ogni caso facilmente reperibili in internet).

Qualche ulteriore precisazione s'impone, in relazione alla pronuncia della Cass. Civ., Sez. Unite, 27 aprile 2018, n. 10266.

La motivazione riporta la descrizione di alcune delle copie analogiche di atti originariamente informatici dimessi dal difensore di un controricorrente, menzionando in particolare la presenza su dette copie della «stampigliatura “firmato digitalmente da”» e la denominazione contenente il suffisso “-signed.pdf”, per quindi concludere: «Dunque, entrambe le procure sono controfirmate dal difensore con firma digitale in formato PAdES, con la consueta estensione “.pdf”».

Non essendo ancora attivo il sistema del processo telematico in Cassazione, la Corte non può procedere alla verifica diretta delle firme digitali (possibile solo sui documenti informatici); il testo della motivazione, peraltro, lascerebbe intendere che sia possibile la verifica della firma digitale anche dalle sole copie analogiche, in presenza delle caratteristiche summenzionate (sebbene, poco più oltre, sia la stessa Corte a lasciar intendere l'esatto contrario, affermando — stavolta, esattamente — che «operando con la firma PAdES, il file firmato è salvato automaticamente con lo stesso nome del file originale, in disparte l'eventuale aggiunta del suffisso “-signed” e l'aspetto “nomefile-signed.pdf”, che, per mera comodità, identifica la presenza di una firma digitale»).

In realtà, e a differenza dei giudici di merito che operano nel sistema del processo telematico, la Suprema Corte non ha alcuno strumento per verificare l'avvenuta apposizione e lo stato di validità delle firme digitali: tale compito viene, invero, rimesso ai difensori, i quali, attestando la conformità delle copie analogiche agli originali informatici ai sensi dei ricordati artt. 16-decies e 16-undecies d.l. n. 179/2012, implicitamente rendono pure conferma di quanto attiene alle firme digitali.

Il che non fa che aggiungere un'ulteriore ragione all'orientamento rigoristico espresso in altre note e recenti pronunce della Suprema Corte, nelle quali è stata sancita l'improcedibilità di ricorsi per mancanza delle regolari attestazioni di conformità (è anche vero che, in seguito, la Corte è parsa attenuare tale rigore, ma a ben vedere l'attenuazione in parola è più apparente che reale).

La conclusione che ci sentiamo di trarre è quindi la seguente: è un errore considerare la comprensione — quantomeno essenziale — del fenomeno informatico poco rilevante sul piano giuridico; malgrado la sua apparente astrusità, la materia informatica è al contrario fondamentale, poiché sulla sua pratica applicazione riposa buona parte del processo civile e amministrativo odierno.

I concetti fondamentali del processo non sono mutati, neanche a seguito dell'introduzione delle tecnologie informatiche; ma detta introduzione ha profondamente mutato, invece, la declinazione in concreto di tali, medesimi concetti; non comprendere, allora, la tecnologia informatica conduce quasi necessariamente a fraintendere concetti che sino a poco prima si era abituati a dare per scontati.

E le conseguenze di una simile incomprensione non possono che essere disastrose.